当我们注册用户的时候,在日志中会自动保存一些敏感的字段,比如password等。
Processing LoginController#save (for 127.0.0.1 at 2008-04-08 13:53:22) [POST]
Session ID: b40f205b38bd05382dc8ef2f362f5d5b
Parameters: {"user"=>{"password_confirmation"=>"aaaaaa111", "login_name"=>"sora", "display_name"=>"Sora", "password"=>"aaaaaa111"}, "commit"=>"注册", "action"=>"save", "controller"=>"login"}
User Columns (0.054099) SHOW FIELDS FROM users
SQL (0.002521) SELECT count(*) AS count_all FROM users
SQL (0.000291) BEGIN
SQL (0.125573) INSERT INTO users (`content_type`, `pic_name`, `salt`, `hashed_password`, `topics_count`, `personality`, `im`, `login_name`, `note`, `comments_count`, `display_name`, `data`, `email`) VALUES(NULL, NULL, '-6162285980.0824992721363479', 'afac1194f166bcb791bdabb32139edbf25c179ab', 0, NULL, NULL, 'sora', NULL, 0, 'Sora', NULL, NULL)
SQL (0.049647) COMMIT
Redirected to http://localhost:3000/
Completed in 0.35052 (2 reqs/sec) | DB: 0.23213 (66%) | 302 Found [http://localhost/login/save]
这是一个安全问题,我们可以看到password以明文的形式存在。如何解决呢?很简单
class ApplicationController < ActionController::Base
filter_parameter_logging "password"
end
这样,其中的字段就会变成"password"=>"[FILTERED]", "password_confirmation"=>"[FILTERED]"。
在这里,本来插入数据库字段中的password也是会暴露的,但是我这里用了hashed_password字段,显示的是不可逆密文,而password字段实际上是一个虚拟字段,因此不会插入数据库。
事实上,即使插入数据库语句中有明文password,我们也不用怕,因为在production环境中,SQL语句不会被保存进日志文件。
分享到:
相关推荐
redactyl.js ... 然后通过redact功能运行您的敏感数据! const data = { 'apiKey' : 'a1b2c3' , 'password' : 'P@$$w0rd' , 'phone' : 1234567890 } ; const redacted = redactyl . redact ( data )
sensitive-param-filter是一个零依赖包,旨在从JavaScript对象中过滤敏感值。 此软件包可用于在输出到UI之前清理日志,文件管理器数据等。敏感参数过滤器随附的默认值对于大多数应用程序应能很好地工作。 安装 通过...
通过首页调用文件,您可以非常容易的打造自己的免费blog服务网站,自己来做blog服务商,多用户和单用户并存,强大的模版定制功能,完善的用户管理,可以屏蔽用户blog,屏蔽恶意ip,对敏感字进行过滤等功能,...
隐私权政策:变更案例扩展程序不处理任何用户敏感或个人数据。 所有内容转换都是通过用户设备上的算法执行的,无需第三方。 ________________________________________________更改日志:2.4.2-修复自动滚动条上的...
通过首页调用文件,您可以非常容易的打造自己的免费blog服务网站,自己来做blog服务商,多用户和单用户并存,强大的模版定制功能,完善的用户管理,可以屏蔽用户blog,屏蔽恶意ip,对敏感字进行过滤等功能,...
完善的用户管理,可以屏蔽用户blog,屏蔽恶意ip,对敏感字进行过滤等功能,确保网站的安全运行。为用户提供多种保密方式,可以设定日志隐藏,日志密码,甚至可以对自己的整个blog站点进行密码保护。提供首页调用文件...
一旦启用双重身份认证功能后,对于系统中记录的敏感内容,比如聊天记录、抓屏记录、邮件记录等,只有系统默认的两个VIP用户同时登录后才可以查看。 产品特色 1、本产品既支持服务器端监控模式,又支持客户端监控...
模拟慢连接、DDOS、撞库、爆破等恶意攻击并统一数据格式,Logstash过滤收集有效日志,日志分类归档检索ES。日志量比较大,HDFS保存三天,快速响应,具有很好的 HA。针对各模块采取相应的分析算法,其中尤其关注敏感...
模拟慢连接、DDOS、撞库、爆破等恶意攻击并统一数据格式,Logstash过滤收集有效日志,日志分类归档检索ES。日志量比较大,HDFS保存三天,快速响应,具有很好的 HA。针对各模块采取相应的分析算法,其中尤其关注敏感...
为了确保系统的安全性和稳定性,我们采用了以下技术措施:对敏感数据进行了加密处理,如用户密码、订单金额等。对输入数据进行了严格的验证和过滤,防止SQL注入等安全漏洞。对系统关键模块进行了日志记录,以便在...
减少数据库io操作JWT-Token认证模式日志记录文字敏感信息过滤使用说明1、安装数据库2、创建数据库3、在config目录下,创建config.yaml文件进行数据配置MySQL: Username: xxx Password: xxxx Address: xxx Port: xxx ...
成员资格过滤器方法通过使用稀疏集成员必须满足的逻辑条件从稠密集成员中过滤出稀疏集的成员。不同集类型的关系见下图。 §3 模型的数据部分和初始部分 在处理模型的数据时,需要为集指派...
加密敏感配置日志记录数据 154 使用 IMA 加密实用工具 155 本地存储 IMA 加密实用工具 155 将密钥复制到本地计算机 155 安装后启用 IMA 加密 155 生成密钥并在场中的第一台服务器上启用 IMA 加密 155 将密钥加载到场...
防火墙中应用的数据包过滤技术是基于数据包的IP地址及TCP端口号的而实现对数据过滤的。 病毒只能以软盘作为传播的途径。 二.单项选择题(每题1分,共25分) 目前广为流行的安全级别是美国国防部开发的计算机安全...
功能要求用法使用定制的UserDefaults类型过滤掉敏感数据添加自己的定制日志添加自己的定制报告通信安装发行说明许可证功能该库允许轻松地将诊断报告作为附件附加到MFMailComposeViewController。 整合
能为客户带来如下价值: 自动识别用户对敏感数据的访问行为模式,识别数据库的安全威胁,并定期更新攻击特征库 全面审核企业内部和外部人员对敏感数据的所有访问,提高数据安全管理能力 报警并阻止对数据库的非法...
防火墙中应用的数据包过滤技术是基于数据包的地址及端口号的而实现对数据过滤的 。( ) 25. 病毒只能以软盘作为传播的途径。( ) 二.单项选择题(每题分,共分) 1. 目前广为流行的安全级别是美国国防部开发的...
等写到日志文件中。读取开关 -ilog 描述获得更多信息。 固实压缩的文件列表 - rarfiles.lst rarfiles.lst 包含一个用户定义的文件列表,告诉 RAR 添加文件到固实压缩文件时的顺 序。它可以包含文件名通配符...